Siber güvenlik alanında, Amerika Birleşik Devletleri’ndeki kritik altyapıyı hedef alan yeni ve gelişmiş bir tehdit aktörü ortaya çıktı.
WARP PANDA adı altında faaliyet gösteren düşman, hukuk, teknoloji ve üretim kuruluşlarındaki VMware vCenter ortamlarına sızma konusunda olağanüstü teknik yetenekler sergiledi.
Bu grubun ortaya çıkışı, özellikle hassas ağlara ve veri depolarına uzun vadeli erişim sağlamaya odaklanan bulut tabanlı siber saldırılarda önemli bir artışa işaret ediyor.
Saldırı kampanyası, bazı izinsiz girişlerin 2023’ün sonlarına kadar uzandığını gösteren kanıtlarla birlikte kasıtlı ve hesaplı bir yaklaşımı ortaya koyuyor.
WARP PANDA, bulut altyapısı ve sanal makine ortamlarına ilişkin gelişmiş bilgi birikimiyle çalışarak grubun karmaşık ağ topolojileri arasında sorunsuz bir şekilde hareket etmesini sağlar.
Tehdit aktörleri, vCenter ortamlarına geçmeden önce internete bakan uç cihazları hedef alarak, bilinen güvenlik açıklarından yararlanarak veya kurban ağlarında dayanak oluşturmak için tehlikeye atılmış kimlik bilgilerini kullanarak faaliyetlerine başlar.
CrowdStrike güvenlik araştırmacıları, 2025 yılı boyunca çok sayıda koordineli izinsiz giriş tespit ettikten sonra bu grubu tespit edip takip etti.
Araştırmacılar, WARP PANDA’nın üç farklı aracı nasıl kullandığını belgeledi: BRICKSTORM kötü amaçlı yazılımı, JSP web kabukları ve Junction ve GuestConduit adlı daha önce bilinmeyen iki implant.
Bu kapsamlı araç seti, grubun tehlikeye atılmış ortamlarda tespit mekanizmalarından kaçarken kalıcı erişimi sürdürme konusundaki kararlılığını göstermektedir.
Enfeksiyon Mekanizmaları ve Kalıcılık Taktikleri
BRICKSTORM, Golang’da yazılan ve updatermgr veya vami-http gibi meşru vCenter işlemleri gibi görünen, grubun birincil arka kapısı olarak hizmet eder.
Kötü amaçlı yazılım, TLS ile şifrelenmiş WebSocket bağlantılarını kullanarak komut ve kontrol sunucularıyla iletişim kurar ve ağ tespitini önlemek için karmaşık gizleme teknikleri kullanır.
BRICKSTORM, alan çözümlemesi için HTTPS üzerinden DNS’yi kullanır ve iç içe geçmiş TLS kanalları oluştururken altyapı barındırma için Cloudflare Workers ve Heroku gibi genel bulut hizmetlerinden yararlanır.
WARP PANDA tarafından kullanılan kalıcılık mekanizmaları, gelişmiş operasyonel güvenlik uygulamalarını sergiliyor.
WARP PANDA’nın yararlandığı güvenlik açıkları: –
| Güvenlik Açığı Kimliği | Etkilenen Bileşen | Tanım |
|---|---|---|
| CVE-2024-21887, CVE-2023-46805 | Ivanti Connect Güvenli VPN, Ivanti Politika Güvenli | Kimlik doğrulamayı atlama ve uzaktan komut yürütme |
| CVE-2024-38812 | VMware vCenter’ı | DCERPC protokolü uygulamasında yığın taşması |
| CVE-2023-46747 | F5 BÜYÜK IP cihazları | Kimlik doğrulama atlama güvenlik açığı |
| CVE-2023-34048 | VMware vCenter’ı | DCERPC protokolünde sınır dışı yazma; RCE’yi etkinleştirir |
| CVE-2021-22005 | VMware vCenter’ı | VCenter sunucularını etkileyen kritik önem derecesine sahip güvenlik açığı |
Grup, yanal hareket için SSH’yi ve ayrıcalıklı vpxuser hesabını kullanırken, izleri kapatmak için günlük temizleme ve dosya zaman damgasını kullanıyor.
Kullanımdan sonra kapatılan, kayıtsız, kötü amaçlı sanal makineler oluştururlar ve kötü amaçlı iletişimleri yasal ağ etkinliğiyle harmanlamak için trafiği tehlikeye atılmış sistemler üzerinden tünellerlerler.
Junction ve GuestConduit, VM soketleri aracılığıyla konuk VM’lerle iletişim kurmak için 8090 numaralı bağlantı noktasını dinleyen Junction ile birlikte çalışır; GuestConduit ise sanal makineler içinde ağ trafiği tünellemeyi kolaylaştırır.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
